Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
『Sysdigで始めてみる [偉い人] < “弊社のセキュリティ大丈夫?” ← “大丈夫!” ...
Search
Kazuhiro Hashimoto
September 04, 2024
0
2.6k
『Sysdigで始めてみる [偉い人] < “弊社のセキュリティ大丈夫?” ← “大丈夫!” > [現場] なセキュリティ対策』
Kazuhiro Hashimoto
September 04, 2024
Tweet
Share
More Decks by Kazuhiro Hashimoto
See All by Kazuhiro Hashimoto
この道四半世紀のインフラエンジニアが タイミーのPFEチームにJOINした体験談
kazutb
0
110
Featured
See All Featured
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
658
61k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
9
940
Producing Creativity
orderedlist
PRO
348
40k
Documentation Writing (for coders)
carmenintech
75
5.1k
How to train your dragon (web standard)
notwaldorf
97
6.3k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
234
17k
Optimising Largest Contentful Paint
csswizardry
37
3.5k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
12
1.2k
The World Runs on Bad Software
bkeepers
PRO
72
11k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
162
15k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
32
1.7k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
285
14k
Transcript
実例から学ぶ セキュリティ監視 〜Sysdigで始めてみる [偉い人] < “弊社のセキュリティ大丈夫?” “大丈夫!” > [現場] なセキュリティ対策〜
自己紹介 • 経歴 ◦ 2002〜2014 SIer ネットワークエンジニア ◦ 2015〜2024 ゲーム会社
サーバインフラ/SREチームリード ◦ 2024/07〜 本業 タイミー プラットフォームエンジニアリンググループ ◦ & 今年〜 副業フリーランス 複数企業支援 ← ここの立ち位置でのお話 • 技術領域・役割 ◦ SRE、プラットフォームエンジニアリング ◦ クラウド(AWS / GCP)、IaC ◦ プロダクト・セキュリティ
ある日のやりとり 利用: https://hi0a.com/demo/-js/js-talk-line/
『セキュリティ』難しいですよね。 • 広い • 深い • 重い
『セキュリティ』難しいですよね。 • 広い • 深い • 重い ※この資料では”インフラ寄り”の部分です コード(フロントエンド) コード(バックエンド)
ランタイム クラウド PC等開発環境 このへん
やっていくしかない • クラウド知識 • インフラ知識 • 認証(IAM)
ここで何を言えると良い? - インフラ変更管理・レビューを厳格に行っています - 資産台帳管理と定期的な棚卸しを行っています - 外部通信をプロキシにより制限しています - セキュリティ診断をして定期的に是正しています -
ウィルススキャンをサーバにインストールしています - … etc. (でも、今この瞬間のセキュリティは不安なんだよなぁ...)
最近の”クラウドネイティブ”を前提にすると • 100% 完璧な防御の構築は無理 ◦ 侵入をされないシステムはない ◦ 侵入されたらどう気づく か?を前提にした監視 •
100% 完璧な状態の維持は無理 ◦ 人はミスをする ◦ 人のミスにどう気づく か?を前提にした監視 • “素早いシステム開発”だとなおさら [厳格さ = 大変さ] に 侵入されないシステム → 侵入されてもダメージコントロールが可能なシステム
ふたたび。ここで何を言えると良い?
これをやっていくには? いろいろあって どこから手をつけたら いいんだろう イチから作るの大変そう
Sysdigを中心にやってみる。が、色んな機能が... 引用: https://sysdig.jp
Sysdigで出来るセキュリティ対策(取り急ぎ版) どんどん機能強化がされていたり・様々な機能があるので取り急ぎできると良いものをpick-upしています
runtime脅威検知の雰囲気 (&マルウェア) ★万が一侵入されたときに気づく ※ 以下、添付している画像は Sysdig Secure評価アカウントの画面イメージを使用しています
- Cloud Audit Logベースでの検知 - SystemCall(Agent)での検知 - Saasサービス(Github, Okta)での検知
None
None
None
None
脆弱性・マルウェア検知の雰囲気 ★侵入されないための堅固さの維持
None
None
IAM(CIEM)の雰囲気 ★侵入されないための堅固さの維持・人のミス(設定ミス・誤った操作)に気づく
None
None
benchmarkの雰囲気 ★侵入されないための堅固さの維持・人のミス(設定ミス・誤った操作)に気づく
None
GuardDuty, Security Command Center? - AWS, GCP等のクラウドセキュリティ機能との棲み分けは? - マルチクラウドだとSysdigに寄せつつ併用もアリ -
各クラウドのセットアップやクセの把握が大変な場面も - なので、同じUI/UX(Sysdig)で監視を集約 するのが良いことも - ただ、Sysdigだけで全部完結といかないところも - アノマリ検知 はクラウド固有のセキュリティ監視が強い場合も - 監視はFalsePositiveとの戦い - falco ruleやregoによるPolicy as Codeを実装しやすい点はsysdig優位 ※個人の感想を多く含みます
おまけ(残り時間でできるだけ説明) false positiveとの戦いについて • Cloud, Workload(syscall), SaaS ◦ Falco Rule’s
Exception • Benchmark ◦ Rego
None
None
まとめ • セキュリティは時間とともに劣化していくもの ◦ 鉄壁防御のシステムがなければ ◦ ミスしない人・組織もない ◦ 侵入される前提で監視をする 必要性
• どのように監視するの?どこから手をつければいいの? ◦ 自分たちで仕組みを作っていくのも大変 ◦ 仕組みづくりで力尽きてセキュリティ運用回せていないかも? ◦ 全力でツールに頼ってセキュリティ監視を回せるようにする のもオススメ • セキュリティ大丈夫!と言い切れない不安解消の参考になれば幸いです
kazutb
lemiorhan
addyosmani
orderedlist
carmenintech
notwaldorf
marcelosomers
csswizardry
tammyeverts
bkeepers
sstephenson
garrettdimon
stephaniewalter
![実例から学ぶ セキュリティ監視 〜Sysdigで始めてみる [偉い人] < “弊社のセキュリティ大丈夫?” “大丈夫!” > [現場] なセキュリティ対策〜](https://files.speakerdeck.com/presentations/d5954b36ae814cd7b24a8d8e13836cb1/slide_0.jpg){kind=link}
